Monday, 23 de December de 2024 ISSN 1519-7670 - Ano 24 - nº 1319

Para decodificar a ‘guerra dos códigos’

Em 3/11/05, Giselle Beiguelman lançou uma coletânea de textos. Apresentando-se como artista e ensaísta, ela revisa e amplia na coletânea 21 de seus artigos, escritos ou publicados entre 2001 e 2005. Dentre esses, ‘Guerra dos códigos e suas armas‘, sobre vírus digitais e outros assuntos de segurança computacional. Publicado inicialmente na Folha de S.Paulo (1/2/2004), o UOL nos brinda com a versão revisada ao promover o livro da coletânea.

Porém, ao revisar tal artigo, a artista perde a oportunidade de atualizar informações e corrigir imprecisões e palpites que conspurcam mensagens nele veiculáveis. Dada a importância do tema, principalmente pela possível influência que tais mensagens possam exercer em leitores que fazem escolhas, ocupo as próximas linhas com o intuito de oferecer-lhes um resgate dessa oportunidade.

Envolvimentos incestuosos

Sobre o vírus MyDoom, diz a autora:

O MyDoom é dessa terceira espécie [de vírus]. O objetivo do ataque, descoberto por empresas de segurança logo no primeiro dia de atividade da praga (26 de janeiro de 2004), seria o de ‘derrubar’, tirar do ar, inviabilizar o acesso ao site de duas empresas – a SCO, …

A notícia sobre a identificação do vírus [MyDoom] veio acompanhada de manchetes bombásticas, especulando que o MyDoom poderia ser obra do ‘mundo Linux’. O Linux é um sistema operacional de código aberto (que pode ser modificado pelos seus usuários e por isso têm várias versões) e distribuído gratuitamente. A hipótese conspirativa seria plausível pelo fato da SCO estar movendo processos judiciais, desde maio de 2003, alegando que algumas versões do Linux usavam linhas de programação de sua propriedade.

Foi amplamente calibrada por reportagens que replicaram uma frase isolada de Chris Belthoff, analista sênior de segurança da Sophos, uma empresa de antivírus, em que dizia que o autor do MyDoom certamente seria um ‘simpatizante do código aberto’.

A declaração está ligada a um tipo particular de conservadorismo que vem sendo chamado de bushismo, uma prática política econômica que se funda na confrontação e extermínio dos contrários e que não tolera sequer a possibilidade de integração econômica entre países emergentes e desenvolvidos.

Uma carta, enviada a 535 deputados e senadores norte-americanos, antes do aparecimento do vírus e assinada pelo presidente da SCO, Darl McBride, é esclarecedora sobre os fundamentos ideológicos que sustentam a hipótese conspirativa.

Nela, McBride argumentava que os programas de código aberto, entre os quais o mais usado é o Linux, ameaçam a indústria de TI (Tecnologia da Informação) dos EUA, a competitividade do país na economia globalizada e sua segurança nacional.

Para arrematar a histeria nacionalista que consubstanciou o bushismo, depois do 11 de setembro de 2001, e agora é atualizado em versões para novas mídias, a carta se encerra explicitando que sua luta contra os programas livres é uma luta baseada nos princípios da constituição norte-americana que advogaria que ‘a motivação do lucro é o motor que assegura o progresso da ciência’.

Essas considerações, no entanto, estão longe de justificar ou minimizar os danos provocados pelo MyDoom. É inconsistente a hipótese de que o vírus seja uma obra do ‘mundo Linux’ contra seus antagonistas.

Independentemente de seu grau de consistência, essa hipótese é improvável. Pois no ano passado o FBI desbaratou, na Operação Firewall, uma quadrilha internacional que ficou conhecida por ‘ShadowCrew’. Especializada em roubo de identidade, fraude bancária, chantagem por encomenda eletrônicas e outros crimes digitais, a ShadowCrew seria a origem do MyDoom, conforme noticia a revista Business Week.

Ao que se saiba, nenhum dos gângsteres identificados participa de projetos de software livre ou open source. Quanto ao uso, cabe perguntar se seria justo responsabilizar um fabricante de armas por assaltos praticados por terceiros. Na dúvida, deputados norte-americanos acabam de aprovar uma lei blindando os fabricantes de armas de fogo contra qualquer tentativa.

A se persistir com teorias conspiracionistas, sendo bushistas os dirigentes das empresas atacadas pela negação de serviço (DoS) do MyDoom, há que se perguntar, diante do que está vindo à tona relativamente ao envolvimentos incestuosos da mídia corporativa no Caso SCO e no Caso Plamegate. Quem teria mais interesse no uso político/econômico dos efeitos do MyDoom, e dinheiro para pagar a encomenda do MyDoom à ShadowCrew? Responda, se quiser com mais esclarecimentos:

a) Dirigentes ou próceres das próprias empresas alvo do DoS?
b) Dirigentes ou próceres da indústria antivírus?
c) Fanáticos do software livre?
d) Não saberia dizer, porque nasci ontem.

Riscos medidos

Todavia, omitir a descoberta dos verdadeiros autores do vírus MyDoom pode ter sido o menor dos pecadilhos na revisão da ‘Guerra dos códigos’. O texto abaixo, por exemplo, sobreviveu à revisão:

Menos consistente ainda é a [hipótese] que relativiza a violência dos criadores desse vírus, lembrando que ele atinge ‘apenas’ os computadores que utilizam Windows – a maioria no mundo todo – e que, portanto, a culpa é da Microsoft por esta construir sistemas vulneráveis. Essa atitude, além de comprometer os que apóiam o uso e o desenvolvimento de programas livres, é inconseqüente porque encobre a mais desconcertante faceta da produção de vírus de computador: a violência social de seu autoritarismo.

Há vários problemas ali. Primeiro, a autora confunde, em vários passos, hipótese e tese. Implicar ali culpa é um julgamento, portanto atitude e tese, dela mesma. Implicar culpa não é conseqüência lógica da hipótese de vulnerabilidade no Windows, nem de sua eventual dedução. Se tal hipótese é lembrada por quem apóia o software livre, e não mais pela autora, o que se tem é um novo contexto, não um novo julgamento. Nesse novo contexto, a atitude de lembrar a hipótese compromete não quem a lembra, mas a hipótese: ela (a hipótese) pode virar dedução, relativa a quem conhece outros sistemas (baseados em Linux, por exemplo). Mais precisamente, dedução relativa a quem sabe que sistemas menos vulneráveis são possíveis.

Nesse contexto, alguns saberão também explicar, a quem estiver interessado, como deduzem que o Windows é vulnerável em relação a outros sistemas. Para isso, hipóteses intestáveis baseadas em estatísticas ‘da maioria’, que ofuscam o entendimento pela redução do conceito de ‘computador’ ao de ‘computador pessoal’, devem ser neutralizadas. Para isso, há estatísticas sobre servidores web: IIS (proprietário, só roda em Windows), 23% do mercado, com 80% das invasões; Apache (livre, roda em qualquer sistema), 66% dos servidores, com menos de 20% das invasões. E não existe internet sem servidores. Tais estatísticas não deduzem culpas: medem riscos. Dos riscos, os vírus ‘apenas’ para Windows são indícios.

Confusão associativa

Nem tudo que se faz (de reprovável) se faz porque é possível, mas o que é mais fácil tende a ser mais feito. Pular o muro do colégio, ou pular o da penitenciária? Se o ‘muro’ é o dos sistemas operacionais, vulnerabilidades são melhor avaliadas pela medição de riscos. E ponderá-los não significa incitar ou relativizar crimes. Significa lembrar que existe, ainda, para os que pagam por licença de uso uma lei chamada Código de Defesa do Consumidor, mas que alguns preferem outras garantias. Afinal, o que significa ‘consumir software’?

Confundir explicação com apologia, ou medição de risco com juízo de culpa, para comparar avaliação de vulnerabilidades com regurgitação de calúnias, generalizadas contra adeptos do software livre como nessa requentada fábula do MyDoom, é inconsistência – esta sim – do tipo que regimes autoritários manipulam.

Segundo, a violência social do autoritarismo por trás de vírus de computador é, cada vez mais, como a própria autora argumenta e como a descoberta de autoria do MyDoom evidencia, a do crime organizado. E crime organizado é crime organizado, antes ou depois dos vírus digitais, dos computadores pessoais, dos movimentos sociais, do softwares livre ou do proprietário, com ou sem eles. Essa confusão associativa da autora, entre crime organizado e código aberto, é maniqueísta, com base e apelo apenas emocionais.

Além dos fanáticos

Terceiro, em se tratando do tema que costura o artigo em análise – conspiração –, culpa não será nunca de um só. No caso do vírus ILoveYou, a imprudente negligência da fabricante do Windows foi revelada, dado o que se conhecia da epidemia anterior (do Melissa) e da sua estratégia para a linguagem VBscript. Revelada ao menos numa audiência pública no Senado dos EUA, ainda que a mídia corporativa boicotasse, e boicote, notícias adversas ao anunciante com 34 bilhões de dólares de saldo bancário. No entanto, havendo ou não conspiração, se tal negligência constitui ou não co-responsabilidade criminal, portanto culpa, caberia à Justiça, se acionada, julgar. E se condenar, será apenas mais uma sentença numa longa lista a cumprir.

Por outro lado, atacar a liberdade de acesso ao conhecimento, a liberdade herdada do iluminismo capaz de nos garantir o direito de saber como programas de computador agirão em nosso nome no ciberespaço, atacá-la sob pretexto de que o crime organizado constrói suas armas digitais usando talentos com acesso ao conhecimento dos bits, é pregar a ideologia fascista no ciberespaço. É promover a lógica da ‘guerra contra o terror’ para reerguer essa ideologia no mundo da vida, pela manipulação irracional do medo induzido.

Quarto, se a hipótese em questão é a da diferença entre vulnerabilidades de sistemas, não se trata de hipótese inconsistente, mas de tese defendida em juízo e acatada até à última instância. Quem a apresenta como fato empírico, e esse fato como evidência de que a Microsoft constrói sistemas vulneráveis, não são apenas fanáticos do software livre. Quem primeiro defendeu essa tese em juízo foi, justamente, um dirigente da própria Microsoft:

A senior Microsoft executive [Vice-Presidente Jim Allchlin] told a federal court [juíza Coleen Kollar-Kotelly, no tribunal que lavrou sentença por prática monopolista predatória, na chamada ‘guerra dos browsers’] that sharing information [algumas API Windows] could damage national security and even threaten the U.S. war effort [no Afghanistão, etc…]. He later acknowledged that some Microsoft code was so flawed it could not be safely disclosed.

Seqüestro do usuário

Quinto, se o vice-presidente da Microsoft defende essa tese, e a tese é acatada em sentença condenatória, deve-se reconhecer que a vulnerabilidade do Windows está associada ao paradigma da segurança por obscurantismo, implícito em seus modelos de licenciamento e de negócio, com reflexos no seu processo de desenvolvimento. Paradigma oposto ao da segurança por design dos softwares livres bem sucedidos, dos que venceram a crivo darwiniano inerente ao modelo de código aberto, onde o que usuários guiam é mais que o mouse.

Sexto, há que também se perguntar por que a concordância com a tese constitui, da parte de quem apóia software livre, ‘atitude comprometedora e inconseqüente’. Afinal, a tese já era defendida pelo vice-presidente da Microsoft bem antes da primeira publicação de ‘Guerra dos códigos’. Não seria mais prudente e ético da autora se ela buscasse antes esclarecer a natureza da relação (entre vulnerabilidade e obscurantismo) que sustenta a tese, ao invés de reincidir em preconceituosa difamação? Com boa vontade ela teria para isso ajuda, por exemplo, do Google e dos autos do processo da ‘guerra dos browsers’.

Já que ela não nos esclareceu, esclareça-se. Um ano antes da primeira ‘Guerra dos Códigos’, uma empresa versada na arte de oferecer segurança digital a usuários já dava pistas. Michael Jennings, da Futurepower Computer Systems, ao invés de escrevinhar sobre a segurança de negócios monopolistas, a pretexto de oferecer a do usuário, analisa no artigo ‘Windows XP shows wich direction Microsoft is going‘ 16 maneiras pelas quais a Microsoft pode controlar ou bisbilhotar remota e imperceptivelmente o computador do usuário do XP. Ou, através delas, ser seqüestrada (junto com o usuário) pelo cibercrime organizado:

Windows XP connects with Microsoft’s computers and expects to be allowed through the user’s firewall in many new ways. A (probably incomplete) list of ways WinXP tries to connect to Microsoft’s computers, or expects to be allowed through the user’s software firewall:

1. Application Layer Gateway Service (Requires server rights: This software can set up an arrangement where other computers control your computer)
2. Fax Service
3. File Signature Verification
4. Generic Host Process for Win32 Services (Requires server rights.)
5. Microsoft Direct Play Voice Test
6. Microsoft Help and Support Center (notifies MS of your search.)
7. Microsoft Help Center Hosting Server (Wants server rights.)
8. Microsoft Management Console
9. Microsoft Media Player (Tells MS music and videos you see.)
10. Microsoft Network Availability Test
11. Microsoft Volume Shadow Copy Service
12. Microsoft Windows Media Configuration Utility (Setup_wm.exe, sometimes runs when Media Player runs.)
13. MS DTC Console program
14. Run DLL as an app (No indication of which DLL or which function in the DLL.)
15. Services and Controller app
16. Time Service, sets the time on your computer from MS. (This can be changed to get the time from another server.)

Vendendo a guerra

O que essa lista tem a ver com o Windows ser proprietário, com software livre e com vulnerabilidades de sistemas? Nos seus modelos de negócio, softwares proprietários são tratados como bens materiais, enquanto os livres são tratados como imateriais. Toda essa complexa teia de serviços sorrateiros em portas de fundo do Windows XP, à guisa de viabilizar o gerenciamento da ‘propriedade intelectual’ da sua fornecedora, inexoravelmente acarreta vulnerabilidades. Por outro lado, essa teia é totalmente desnecessária em softwares livres ou de código aberto (FOSS).

Por que desnecessária? Porque código FOSS é tratado como conhecimento, imaterial e compartilhável, não como segredo de negócio, oculto em código-fonte e em cada executável. Modelos de negócio com FOSS retornam investimento de qualquer forma que o empreendedor consiga imaginar a menos de cobrança pelo direito de uso de cada executável. Em compensação, o empreendedor não precisa ser autor ou titular do código (ex: RedHat, Mandriva, Novell, IBM). Se, por um lado, é difícil prever o sucesso dessas formas, tratar doutra feita ‘antagonistas’ e clientes alike como potenciais bandidos pode ter conseqüências imprevisíveis.

Se o mercado deve ser livre, como prega a ideologia dominante, por que o do software também não pode ser, nos casos ou nichos em que seus modelos de desenvolvimento e licenciamento sejam eficientes e viáveis para sustentá-lo? Por que o FOSS continua tão artificialmente estigmatizado, levianamente associado a amadorismo, a radicalismo, a pirataria e a intenção criminosa? É improvável que a resposta nos chegue pelo jornalismo praticado pela mídia corporativa, ocupada em nos vender a guerra do Iraque, uma histérica cruzada ‘contra pirataria digital’, o caso SCO e outras guerras cognitivas. Nesta, prosseguimos:

Não é a primeira vez que ataques como esse são planejados. Em agosto de 2003, por exemplo, um vírus, chamado MSBlast -cujas linhas de programação traziam, entre outros, o texto ‘Bill Gates: pare de ganhar dinheiro e arrume esse sistema!’- infectou 120 mil computadores em um dia.

O objetivo era derrubar o site nevrálgico da Microsoft -o do Windows, www.windowsupdate.com- provocando uma overdose de acessos. Não deu certo, pois a Microsoft tirou ela mesma do ar o site no dia ‘D’. A estratégia desse falido ataque é praticamente a mesma que vem embutida no MyDoom. É simples, porém obscura para muito dos portadores do vírus.

Fundamentalistas de mercado

Uma das razões para ataques à empresa não darem certo, a autora espertamente omite: porque a Microsoft, até onde se sabe, não usa Windows nos seus servidores-bastiões, entrada e saída da sua rede corporativa.

Pela importância da Microsoft no mercado e na sociedade informacional, seria útil e honesto tentar antes entender, para opinar, o que poderia mesmo derrubar seus pontos nevrálgicos, e como. Entender, antes de expor leitores a surtos ingênuos de uma fértil imaginação vassala, os metafóricos sentidos em que ela tira a si mesma do ar. Já que está na moda rastrear dinheiro de mensalão, não custa perguntar: quem pagou à ShadowCrew pelo MyDoom? O sumiço de backups à véspera do Natal passado, seguido de ruptura empresarial e ‘suicidato’ do gerente de TI da holding da SCO, o segundo numa série de três no caso SCO, teria a ver?

Para melhor distinguir teorias conspiracionistas de conspirações, mesmo as do destino, talvez mais uma declaração, oficial e atualizada, ajude. Esta, publicada em 26/9/05 pelo Wall Street Journal, veículo que, mesmo não sendo juiz de tribunal ou pregador de seita, é uma dessas coisas para muitos fundamentalistas de mercado.

‘Windows is broken and Microsoft has admitted it. In an unprecedented attempt to explain its Longhorn problems and how it abandoned its traditional way of working, the normally secretive software giant has given unparalleled access to The Wall Street Journal, even revealing how Vice President Jim Allchin broke the bad news to Bill Gates…[Longhorn] is so complex its writers will never be able to make it run properly. ‘The reason: Microsoft engineers were building it just as they had always built software.’ Jim Allchlin, MS Vice-President’ (‘MS Windows Is Offically Broken‘)

Tecnotiranias e seus exércitos

Não deve ser por acaso que a Microsoft está perdendo importantes executivos para empresas como a Google, e recrutando entre os desenvolvedores de software livre. Como o criador da distro Gentoo, talvez a mais purista das distros baseadas no kernel Linux. Este, segundo a própria Microsoft, recrutado ‘para ajudá-la a entender open source‘.

Em suma, o modelo de desenvolvimento baseado no obscurantismo mostra esgotamento do seu ciclo de eficácia. E dentre os que se arvoram entendidos só os mais católicos que o papa, só as Judy Millers da cibercultura ainda não perceberam. Indiferente às conseqüências, prossegue a nossa:

Todos aqueles que foram contaminados pelo MyDoom, ao se conectarem à internet, a partir do dia 1º de fevereiro de 2004, estariam acessando, automaticamente, sites dos seus alvos (SCO e de novo a Microsoft), sobrecarregando de tal maneira os computadores dessas empresas, que eles ficariam ‘travados’, impossibilitados de atender à quantidade monumental de solicitações.

Em termos técnicos esse tipo de ataque que ‘derruba’ um site chama-se ataque do tipo DoS (Denial of Service, negação de serviço). Em termos políticos, denota a emergência de uma tecnotirania que se impõe pela transformação dos internautas – sejam eles consumidores individuais, corporações ou instituições – em soldados involuntários de um exército global que ataca sem saber a quem, quando e por quê.

Já que o assunto chegou às tecnotiranias, com seus soldados involuntários, exércitos globais e coisa e tal, é mister que se mencione uma outra, uma que ataca sabendo muito bem a quem, quando e por que, lembrando que o fascismo vence quando o crime organizado coopta o capital e o Estado.

Sem ‘valor jornalístico’

Tendo se tornado alvo de investigação por violação de leis antitrust na Coréia do Sul, a Microsoft enviou recentemente altos executivos àquele pais asiático numa espécie de missão educativa. Parte da missão era explicar aos coreanos que, nos EUA, a empresa não é considerada violadora das leis antitrust que lá vigoram. Isso mesmo, que não é! Outra parte da missão era transmitir diretamente ameaças de retaliação, que paralisariam o governo da Coréia, caso o desfecho das investigações desagrade à empresa. Afinal, para que serviriam aquelas 16 portas de fundo no XP?

Quem, doutra feita, sabia que a Microsoft foi condenada no caso da ‘guerra dos browsers’, por prática monopolista predatória, em última instância em 8 de outubro de 2001 por unanimidade da Corte Suprema dos EUA (United States District Court for the District of Columbia: Civil action 98-1232 and 98-1233), e que a juíza encarregada da apenação, Coleen Kolar-Kotelly, anda insatisfeita com a forma pela qual a ré cumpre os termos da branda sentença, deveria também saber que nada disso tem ou teve ‘valor jornalístico’ para a TV Globo, a revista Veja, o Estado de S.Paulo ou Folha de S.Paulo, para a mídia corporativa em geral.

Em novilíngua

Se essa, digamos assim, ‘atitude comprometedora’ da mídia corporativa é ou não inconseqüente para as falácias, mentiras e chantagens que vão sendo plantadas pelo cibertrator monopolista na Coréia, em Cingapura, na Dinamarca, em Massachusetts, no IETF, ali e acolá, cada um que julgue por si, enquanto o mundo segue a marcha da revolução digital. O que se vislumbra nessa marcha? Imagine um mundo…

a) no qual instituições financeiras/governos, por interesses ditados pela lógica econômica/política, induzem correntistas/contribuintes a aderirem a uma infra-estrutura de chaves públicas;

b) infra-estrutura esta cujo regime normativo inverte o ônus da prova e impede a emissão de certificados de chaves de assinatura destinadas a fins restritos/específicos (quer dizer: o titular aceita que sua chave de assinatura possa assinar qualquer tipo de documento eletrônico, assumindo a responsabilidade pela prova de fraude, caso não reconheça sua intenção de ter assinado documentos trazidos contra si em juízo);

c) mundo este no qual nove-entre-dez correntistas/contribuintes, presos a viseiras que artigos como esse ‘Guerra dos códigos’ perpetuam, usarão sua chave de assinatura num sistema que crêem ser o único viável/disponível à sua competência/alcance;

d) sistema através do qual esses nove-entre-dez também querem/precisam ouvir/acessar músicas/peças multimídia, mas onde fornecedores de conteúdo agem dessa forma;

e) mundo este onde um governo messiânico-imperial está determinado a blindar modelos negociais desses fornecedores, contra resquícios de equilíbrio nos ordenamentos jurídicos vigentes, chantageando e coagindo, a partir de sua posição no ordenamento financeiro/militar contemporâneo, outros governos a aderirem a um processo de harmonização dos regimes de ‘propriedade intelectual‘ via tratados de ‘livre-comércio’.

A guerra dos códigos é travada em novilíngua; bem-vindo ao mundo de Kafka/Orwell.

******

ATC PhD em Matemática Aplicada pela Universidade de Berkeley, professor de Ciência da Computação da Universidade de Brasília (UnB), coordenador do programa de Extensão Universitária em Criptografia e Segurança Computacional da UnB, representante da sociedade civil no Comitê Gestor da Infra-Estrutura de Chaves Públicas Brasileira. Site: www.cic.unb.br/docentes/pedro/sd.htm